I sin artikkel 2. januar beskylder Arild Haraldsen meg for tre ting; jeg feilinformerer Stortinget, jeg vet ikke hva samtykkeløsninger er, og jeg feiltolker det rettslige grunnlaget for utlevering av data. Både det første og det siste er alvorlige beskyldninger.
Etter personopplysningsloven og forvaltningsloven er samtykke og lovhjemmel alternative rettslige grunnlag for henholdsvis behandling av personopplysninger og opphevelse av taushetsplikt.
I tillegg til de generelle reglene i personopplysningsloven og forvaltningsloven, har flere av de ulike registrene i forvaltningen regler om hva som er gyldig rettslig grunnlag for å få utlevert data fra registrene. Dette gjelder for eksempel skatteforvaltningsloven for utlevering av enkelte data fra Skatteetaten, folkeregisterloven for utlevering av data fra Folkeregisteret og eForvaltningsforskriften for utlevering av data fra kontakt- og reservasjonsregisteret.
Flere av disse lovene og forskriftene krever lov eller forskriftshjemmel for bruk av data fra registrene eller etatene. Kilden til den eller de opplysningene som skal gjenbrukes avgjør derfor ofte hvilket rettslig grunnlag som kan benyttes. Samtykke er derfor ikke alltid et mulig rettslig grunnlag for gjenbruk av opplysninger.
Jeg stiller meg derfor også undrende til formuleringene om at Finansdepartementet krever lovhjemmel for innhenting av skattedata til barnehagesøknader, men samtykke til innhenting av skattedata for å oppta lån. Dette er ikke riktig. Finansdepartementet sier at skatteforvaltningsloven åpner opp for at kommuner kan få opplysninger om inntekt uten samtykke fra den opplysningene gjelder, så fremt ikke annet regelverk er til hinder for dette. Det vil si at kommunene i utgangspunktet ikke trenger å innhente samtykke for å få tilgang til dataene.
Haraldsen skriver videre at det i Digital agenda ikke er nevnt med et ord at en samtykkeløsning i Altinn ble tatt i bruk i 2014. Dette er også feil. Jeg viser til Digital agenda kapittel 11, boks 11.2 hvor prosjektet er omtalt.
Haraldsen viser til EUs personvernforordning (GDPR), som skal gjennomføres i norsk rett. Han hevder at samtykkekravene i GDPR primært er en utfordring for store internasjonale aktører. Dette er feil. Reglene i GDPR gjelder både for privat og offentlig virksomhet. Etter GDPR kan samtykke danne rettslig grunnlag for behandling av personopplysninger. Både innhenting, lagring og utlevering av personopplysninger kan være elementer i slik behandling. GDPR stiller krav om at samtykke som skal danne rettslig grunnlag for behandling av personopplysninger, skal være frivillig, spesifikt, informert og utvetydig.
For å sikre at samtykket er frivillig, skal det ikke kunne benyttes som rettslig grunnlag dersom det er en klar ubalanse i forholdet mellom den behandlingsansvarlige og den registrerte. Forordningen peker på at dette særlig er tilfellet der den behandlingsansvarlige er en offentlig myndighet. Dette representerer en innstramming i bruk av samtykke som behandlingsgrunnlag sammenliknet med gjeldende norsk rett, i tråd med mitt svar til stortingsrepresentant Tvedt Solberg i denne saken. Forordningen angir at det rettslige grunnlaget for det offentliges behandling av personopplysninger ved utøvelse av offentlig myndighet skal fremgå av nasjonal rett (eller av unionsretten der dette er relevant), det vil si ha hjemmel i lov.
Når det offentlige behandler personopplysninger som ledd i utøvelse av offentlig myndighet, for eksempel tildeling av barnehageplass, er samtykke altså ikke et godt rettslig grunnlag for behandlingen. Samtykke i slike tilfeller gir heller ikke, i motsetning til det Haraldsen hevder, godt personvern. Forutsetningen for at et samtykke er gyldig etter personvernreglene, er at det er gitt frivillig, det vil si at den registrerte har et reelt valg. Samtykke gir ikke godt personvern hvis det ikke er et reelt alternativ for den registrerte å nekte samtykke til behandling, herunder innhenting, av personopplysninger. Dette er også i samsvar med den danske veiledningen som Haraldsen viser til.
Haraldsen skriver at "Felles datakatalog […] er nettopp etablert for å unngå at [samtykkeløsninger] skal være ressurskrevende for etatene." Datakatalogen ble etablert for å forenkle arbeidet med å vurdere og bruke korrekte datasett med rett kvalitet og riktig lovgrunnlag. Etableringen av datakatalogen har ingenting med diskusjonen om valget mellom samtykke eller hjemmel å gjøre.
_logo.svg.png){kind=logo}
Baserer vi oss på samtykke for etterlevelsen av kun-en-gang-prinsippet, gir vi avkall på flere effektiviseringsgevinster og forenklingsgevinster på nasjonalt nivå. Derfor bør det som hovedregel foreligge hjemmel om at opplysningene skal kunne deles fra den virksomheten som først innhentet opplysningene fra innbyggeren.
Innbyggerens rett til å få innsyn i hvilke opplysninger som er samlet inn og lagret om innbyggeren gjelder uavhengig av om de er hentet inn basert på samtykke eller hjemmel.
